Seguridad de la Información: Historia, Terminología y Campo de acción
Desde alrededor de los años ochenta del siglo pasado, la humanidad se ha visto envuelta e inmersa en una serie de cambios en todas las áreas de la vida pública. Todo a causa del desarrollo progresivo, creciente y masificado de las «Tecnologías de Información y Comunicación (TIC)»
. Las «TIC»
han originado efectos que incluso, han cambiado nuestra forma de ver apreciar o evaluar nuestro pasado o presente, y hasta redimensionado la forma en la que vislumbramos nuestro futuro como especie.
Cambios o efectos, que incluso han llegado a cambiar nuestro lenguaje usado, debido a la creación, uso y popularidad de una inmensa variedad de nuevas palabras, conceptos e ideas, hasta hace poco desconocidas o pensadas. Y con está publicación esperamos ahondar sobre estos aspectos y conocer un poco sobre el actual tema de la «Seguridad de la Información»
como un aspecto esencial de las actuales «TIC»
sobre la sociedad humana actual, es decir, la «Sociedad de la Información»
del Siglo XXI.
Antes de entrar de lleno en el tema, es bueno precisar que no se debe confundir el concepto relacionado de la «Seguridad de la Información»
con el de la «Seguridad Informática»
, ya que mientras la primera se refiere a la protección y resguardo de la información integral de un «Sujeto»
(Persona, Empresa, Institución, Organismo, Sociedad, Gobierno), la segunda solo se centra en salvaguardar los datos dentro de un sistema informático como tal.
Por ende, cuando se trata de «Seguridad de la Información»
de un «Sujeto»
, es importante que la información vital para el mismo, esté protegida y resguardada bajo las mejores medidas de seguridad y buenas prácticas informáticas. Ya que, precisamente la esencia de la «Seguridad de la Información»
es mantener a salvo todos los datos importantes de ese «Sujeto»
a defender.
De forma tal, que podemos resumir la«Seguridad de la Información»
como el área del conocimiento que consiste en la preservación de la confidencialidad, la integridad y la disponibilidad de la Información asociada a un «Sujeto»
, así como de los sistemas implicados en su tratamiento, dentro de una organización. Además, la «Seguridad de la Información»
cimienta toda su base sobre los siguientes principios:
- Confidencialidad: Se debe evitar que la información no esté a disposición o no sea revelada a individuos, entidades o procesos no autorizados.
- Integridad: Se debe velar por el mantenimiento de la exactitud y la completitud de la información y sus métodos de proceso.
- Disponibilidad: Se debe garantizar el acceso y la utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Contenido
Historia
De los párrafos anteriores, se puede deducir fácilmente que la «Seguridad de la Información»
no necesariamente nació con la moderna y actual «Era Informática»
, ya que tiene que ver con la información de forma genérica, la cual siempre ha estado asociada al término de «Humanidad, Sociedad y Civilización»
, mientras que por el contrario, la «Seguridad Informática»
sí.
Por lo que, podemos enumerar ejemplos puntuales de proteger «Información»
a lo largo de la historia, lo cual, muchas veces se asocia con el legendario arte o ciencia de la «Criptografía»
. Ejemplos tales como:
Hitos antes de Cristo (aC)
- 1500: Tableta Mesopotámica, que contiene una fórmula cifrada para producir un vidriado cerámico.
- 500-600: Libro hebreo de Jeremías, con un cifrado sencillo mediante la inversión del alfabeto.
- 487: Bastón griego SCYTALE, que usa un listón de cuero enrollado sobre el que se escribe.
- 50-60: Julio César, Emperador romano que usaba un sistema simple de sustitución en su alfabeto.
Hitos después de Cristo (dC)
- 855: Primer texto conocido de criptografía, en Arabia (Medio Oriente).
- 1412: Enciclopedia (14 tomos) donde se explica la criptografía, y las técnicas de sustitución y transposición.
- 1500: Inicio de la criptografía en la vida diplomática, en Italia.
- 1518: Primer libro de criptografía llamado “Polygraphia libri sex”, escrito por Trithemius en alemán.
- 1585: Libro “Tractie de chiffre”, del francés Blaise de Vigenere, que contiene el conocido Cifrado de Vigenere.
- 1795: Primer dispositivo de cifrado cilíndrico, de Thomas Jefferson, conocido como “Rueda de Jefferson”.
- 1854: Cifrado de matriz de 5×5 como clave, de Charles Wheatstone, luego conocido como Cifrado Playfair.
- 1833: Libro “La Cryptographie militaire”, de Auguste Kerckhoff, que contiene el principio de Kerckhoff.
- 1917: Desarrollo de la cinta aleatoria de un solo uso, único sistema criptográfico seguro, de la época.
- 1923: Uso de la máquina de rotores “Enigma”, diseñada por el alemán Arthur Scherbius.
- 1929: Libro “Cryptography in an Algebraic Alphabet”, de Lester Hill, que contiene el Cifrado de Hill.
- 1973: El uso del “Modelo Bell-LaPadula”, que formaliza las normas de acceso a la información clasificada,
- 1973-76: Difusión y uso de Algoritmos de cifrado de llave pública o llaves criptográficas.
- 1977: Creación del “Algoritmo DES” (Data Encryption Standard), por parte de IBM en 1975.
- 1979: Desarrollo del “Algoritmo RSA”, por parte de Ronald Rivest, Adi Shamir y Leonard Adleman.
Conceptos y Terminología relacionada
Los conceptos y la terminología relacionada con la «Seguridad de la Información»
son muchos, ya que como dijimos antes, tiene más que ver con nosotros mismos que con la «Información»
contenida en dispositivos o sistemas digitales o computadorizados, aspecto que abarca realmente, la «Seguridad Informática»
. Por lo que mencionaremos solo unos pocos importantes de forma muy resumida.
Análisis de tráfico
Comprende el registro de la hora y duración de una comunicación, y demás datos asociados a la misma para determinar en forma detallada los flujos de comunicación, la identidad de las partes que se comunican y lo que se puede establecer sobre sus ubicaciones.
Anonimato
Propiedad o característica asociada a un “Sujeto” que expresa que el mismo no puede ser identificado dentro de un conjunto de otros entes (sujetos), que suele ser llamado “Conjunto anónimo”. Conjunto que suele estar conformado por todos los posibles sujetos que puedan causar (o estar relacionados con) una acción.
Ciberespacio
Entorno no físico (virtual) creado por equipos de cómputos unidos para interoperar en una red. A nivel global, se puede decir que el Ciberespacio es un espacio interactivo (digital y electrónico) implementado dentro de los ordenadores y de las redes informáticas de todo el mundo, es decir, sobre Internet. El ciberespacio no debe confundirse con Internet, ya que el primero se refiere a objetos e identidades que existen dentro del segundo, el cual es una infraestructura física y lógica funcional.
Cibernética
Ciencia que se ocupa de los sistemas de control y de comunicación en las personas y en las máquinas, estudiando y aprovechando todos sus aspectos y mecanismos comunes. Se establece su origen alrededor de 194 y actualmente está muy vinculada a la Biónica y la Robótica. Está suele incluir el estudio y manejo desde las máquinas calculadoras (súper-ordenadores y ordenadores) hasta toda clase de mecanismos o procesos de autocontrol y comunicación creados o a crearse por el hombre que suelen imitar la vida y sus procesos.
Confidencialidad
Propiedad o característica que impide la divulgación de determinada información a sujetos o sistemas no autorizados. Para así, tratar de asegurar el acceso a la información únicamente a aquellos sujetos que cuenten con la debida autorización.
Criptografía
Disciplina que trata del arte de escribir en un lenguaje convenido mediante el uso de claves o cifras, es decir, enseña a diseñar “cifrarios” (expresión sinónima de código secreto o escritura secreta) y “criptoanalizar” (operación inversa que trata sobre interpretar mediante el análisis los “cifrarios” construidos por los criptógrafos).
Infraestructura Crítica
Aquellas que proporcionan servicios esenciales, cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.
Otros conceptos importantes
- Peligro: Precondición humana desafortunada que, como tal, se ubica en el nivel cognoscitivo, perceptivo o pre-perceptivo, con atribuciones de anticipación o posibilidad de ser evitado respecto de su posible realización.
- Privacidad: Expectativa individual de control que cada persona tiene respecto de la información sobre sí mismo y la forma en que esta información es conocida o utilizada por terceros.
- Prueba: Elemento, medio o acción cuya finalidad es demostrar que lo afirmado corresponde a la realidad.
- Riesgo: Condición o situación que corresponde a una posible acción potencial de pérdidas o daños sobre un sujeto o sistema expuesto, resultado de la “convolución” de la amenaza y la vulnerabilidad.
- Transgresión: Quebrantamiento de leyes, normas o costumbres.
- Voluntad: Capacidad humana para decidir con libertad lo que se desea y lo que no.
Campo de acción
El campo de acción de la «Seguridad de la Información»
está estrechamente vinculado a otras disciplinas informáticas, tales como la «Seguridad Informática»
y la «Ciberseguridad»
.
Citando a Catherine A. Theohary:
“Para algunos actores gubernamentales, Ciberseguridad significa Seguridad de la Información o asegurar la información que reside en la Ciber-infraestructura, tales como las redes de telecomunicaciones o los procesos que estas redes permiten. Y para algunos, la Ciberseguridad significa proteger la infraestructura de información de un ataque físico o electrónico”.
La «Criminalística»
y la «Informática Forense»
, también son disciplinas relacionadas con el ámbito de acción de la «Seguridad de la Información»
. Sobre todo está última, ya que consiste en la preservación, identificación, extracción, documentación e interpretación de los datos informáticos.
Hay posiblemente otras disciplinas involucradas a parte de estás, por lo que lo ideal es ampliar la lectura sobre estas disciplinas usando como referencias noticias actuales relacionadas con la «Seguridad de la Información»
y la «Seguridad Informática»
en otras fuentes de información (sitios web) tales como: Incibe, Welivesecurity (ESET) y Kaspersky.
Conclusión
Esperamos que está publicación, sobre «Seguridad de la Información»
sea de mucha utilidad para todas las personas, tanto para aquellas ajenas al tema directamente y como para aquellas relacionadas con la temática. Que les sea una pequeña pero valiosa fuente de información sobre todo a nivel de conceptos y términos que suelen ser de uso permanente en ambientes académicos, profesionales y sociales relacionados con «La Informática y la Computación»
.
En fin, que les sea útil para poder consolidar una base teórica que le permita a cualquiera afrontar con buen pie, el inicio del conocimiento en tan valiosa área del conocimiento actual.